Какие персональные данные работника руководитель не имеет права получать

Какие персональные данные работника руководитель не имеет права получать
Автор На чтение 30 мин Просмотров 16 Обновлено
Содержание

Зачем переживать о персональных данных на работе? Для чего подписывать согласие на обработку персональных данных? Есть ли ответственный за организацию обработки персональных данных? Как защищают персональные данные, кто имеет к ним доступ?

Казаков Валентин · 2023-01-04 00:35:21

  • Зачем переживать о персданных на работе
  • Проверьте отношения компании с Роскомнадзором
  • Изучите отношения компании с работниками
  • Подпишите согласие на обработку данных
  • Уведомляли об обработке персональных данных Роскомнадзор?
  • Есть ли ответственный за организацию обработки персональных данных?
  • Кто имеет доступ к персональным данным?
  • Как защищают персональные данные?
  • Запомнить
  • Комментарии

Ранее мы разбирались в том, как при собеседовании и приеме на работу убедиться в честности нанимателя, его искренности и правдивости по поводу зарплаты. На этом проверка не закончена.

Какие персональные данные работника руководитель не имеет права получать

Каждый наёмный рабочий имеет право на неразглашение его личных сведений, а халатный начальник может поступить с ними не добросовестно: передать посторонним лицам, потерять или воспользоваться ими в меркантильных целях. Если такой случай все-таки произойдет, сотрудник обретет немало проблем, которые могут обернуться испорченной репутацией или потерей денежных средств.

Необходимо удостовериться в том, что ваши персональные данные надежно защищены. Попробуем разобраться в том, как выбрать добросовестного работодателя.

Зачем переживать о персданных на работе

Всем известно, личные данные сотрудников находятся на хранении у начальства. Распоряжаться ими должны по закону правильно, а именно, беречь от посторонних лиц и не совершать неправомерных действий по отношению к ним (ст. 3 ФЗ «О персональных данных»).

Существует несколько правил для хранения личных сведений работника:

  • наличие компетентного специалиста, работающего с личными документами;
  • наличие локального акта по обработке персональных данных;
  • регламент допуска к ним.

Соответственно, если в организации эти пункты не соблюдаются, то есть большая вероятность потери или разглашения конфиденциальной информации о каждом сотруднике. Все документы должны быть в сейфе, в шкафах, закрывающихся на замок, либо в других специально отведенных для хранения местах.

Халатность работодателя может привести к плохим стечениям обстоятельств, от разглашения информации, которой работник не хотел бы делиться с сотрудниками, до махинаций мошенников, любителей использовать персональные данные в корыстных целях.

Подобное обращение с персональными данными бьет по самоуважению и кошельку

Воспитатели в детском саду решили поздравить коллегу Любовь Александровну с днем рождения: на входе образовательного учреждения повесили плакат с фотографией, ФИО и датой рождения. Любовь Александровна — женщина в возрасте и ей неудобно за то, что все знают, сколько ей лет.

Что такое персональные данные (ПДн)? Защита по 152-ФЗ и требования Роскомнадзора в 2022

Александр Петрович попросил организацию в материальной помощи и написал соответствующее заявление в бухгалтерию. Некомпетентный бухгалтер теперь раздает его заявление всем сотрудникам в качестве образца, а коллеги, в свою очередь, обсуждают плохое материальное положение Александра Петровича.

Специалист по подбору персонала Надежда передала контакты всех сотрудников большой компании, прилично на этом заработав. Вот уже месяц, как их изводит звонками неизвестная фирма по продаже БАДов.

Невнимательная помощница секретаря оформляла сотрудникам билеты для командировок. Некоторые копии нечаянно были отправлены в мусорку. Предприимчивая уборщица воспользовалась ими и оформила пару потребительских кредитов, конечно же, не на свою фамилию.

До собеседования

Проверьте отношения компании с Роскомнадзором

В задачи федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) входит также и надзор о защите персональных данных сотрудников. Наниматель обязан уведомить данный федеральный орган об обработке личной информации работников и внести их в специальный реестр.

В ч. 1 и ч. 2 ст. 22 ФЗ «О персональных данных» есть несколько пунктов, разрешающих не сообщать Роскомнадзору об использовании личной информации работников своей организации. Работодатель должен четко понимать, где он может воспользоваться данными пунктами. В противном случае Роскомнадзор он уведомить, все-таки, обязан.

Если организация сотрудничает с другой компанией на основе договора, то Роскомнадзор должен быть в курсе обработки персональных данных подчиненных в обязательном порядке. Также это касается различных видов страхования, покупки билетов и заказа визиток. Во всех случаях наниматель использует личные данные работников.

В Реестре операторов персональных данных Роскомнадзора можно проверить, выполняет ли данная организация все задачи по соблюдению обработки и защите личных документов. Достаточно владеть информацией по названию фирмы, либо ее ИНН.

В том случае, если Роскомнадзором осуществлялась проверка по отношению вашего места работы, можно узнать, были ли нарушения и какие.

Кроме Роскомнадзора проверки могут осуществлять сотрудники трудовой инспекции и прокуратуры, выявлять противозаконные нарушения.

Как говорилось выше, компания, в которой вы работаете, обязана установить и утвердить политику обработки персональных данных. Как правило, эта информация есть на официальных сайтах любой организации. Перед тем, как устроиться на работу, проявляйте бдительность, просмотрите сайт, удостоверьтесь о наличии такого документа.

До собеседования

Что считается персональными данными работника

Персональные данные — это ФИО работника, ИНН, СНИЛС, телефон, размер зарплаты и даты рождения его детей. Это любая информация, прямо или косвенно относящаяся к сотруднику, как указано в ст. 3 закона о персональных данных 152-ФЗ. Даже просто ФИО «Иванов Иван Иванович» без даты рождения или номера телефона Роскомнадзор считает персональными данными.

Кадровик сталкивается с персональными данными, когда получает резюме соискателя, сообщает охраннику данные кандидата для оформления пропуска, заполняет трудовой договор или отправляет СЗВ-ТД в Пенсионный фонд.

Любые действия кадровика с персданными работника называются обработкой персональных данных. По п. 3 ст. 3 закона о персданных обработка персданных включает в себя сбор, запись, систематизацию, использование, распространение, удаление данных.

Как наказывают работодателей за нарушения в работе с персональными данными

Как только работодатель приступил к обработке персданных, он обязан их защищать, хранить и обрабатывать по правилам закона о персональных данных, гл. 14 Трудового кодекса. Иначе Роскомнадзор оштрафует по жалобе работника или при проверке. За грубейшие нарушения возможна уголовная ответственность.

Роскомнадзор штрафует руководителя, если в компании не назначен сотрудник, ответственный за персональные данные. Переложить ответственность можно приказом о назначении или установить обязанность в должностной инструкции, трудовом договоре.

Вот популярные нарушения работодателей в работе с персданными.

Нарушение № 1. Не получают согласие работника на обработку данных, когда это нужно

Компания публикует фотографии работников на сайте компании. Это распространение информации неограниченному кругу лиц. Нужно оформить согласие работника на распространение.

Еще пример. Работодатель перечисляет зарплату работника на счет его супруги. Реквизиты счета прописаны в допсоглашении к трудовому договору с работником. Это обработка данных супруги без ее согласия. Если согласия супруги не предоставить, Роскомнадзор оштрафует при проверке.

Штраф за нарушение — до 150 тыс. рублей компании, до 40 тыс. рублей руководителю по ч. 2 ст. 13.11 КоАП РФ.

Нарушение № 2. Обрабатывают данные в непредусмотренных законом случаях

Магазин собирает и хранит справки работников об отсутствии судимости. Это обработка не предусмотренной законом информации, за которую Роскомнадзор может оштрафовать.

А вот школа имеет право запрашивать у работников такие справки и хранить их, поскольку это ее обязанность по ст. 65 ТК РФ.

Штраф за нарушение до 100 тыс. рублей компании, до 20 тыс. рублей руководителю по ч. 1 ст. 13.11 КоАП РФ.

Нарушение № 3. Получают данные для одной цели, а используют для другой

Работодатель взял копию диплома, чтобы оформить прием. А потом опубликовал его на сайте компании, чтобы подтвердить экспертность своих сотрудников. Его оштрафуют, потому что цель обработки достигнута — прием оформлен, а документ не уничтожен.

Штраф за нарушение до 100 тыс. рублей компании, до 20 тыс. рублей руководителю по ч. 1 ст. 13.11 КоАП РФ.

Нарушение № 4. Не публикуют политику обработки персональных данных

Политика обработки персданных нужна обязательно, и у работников должен быть к ней свободный доступ. Кто-то вывешивает политику на доске при входе в офис, кто-то публикует ее на сайте. Политика обязательно должна быть на сайте, если там выложены вакансии с возможностью откликнуться на них через сайт.

Штраф за нарушение до 60 тыс. рублей компании, до 12 тыс. рублей руководителю по ч. 3 ст. 13.11 КоАП РФ.

Нарушение № 5. Не вовремя реагируют на запрос гражданина о его персональных данных

Работодатель должен ознакомить работника с обрабатываемыми пересданными в день обращение или в течение 30 дней с даты получения запроса работника. Иначе оштрафуют.

Для защиты компании работодатели прописывают в политике обработки адрес для таких запросов. Это помогает избежать ситуации, когда гражданин пишет запрос на электронку отдела продаж и его запрос долго передают ответственному за обработку персданных.

Штраф за нарушение до 80 тыс. рублей компании, до 12 тыс. рублей руководителю по ч. 4 ст. 13.11 КоАП РФ.

Нарушение № 6. Не уничтожают персональные данные работника по его требованию

Гражданин и Роскомнадзор вправе письменно потребовать уточнить, заблокировать или уничтожить персональные данные, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

Так, одна компания размещала на сайте информацию о своих сотрудниках-специалистах. После увольнения работник потребовал удалить информацию. А компания отказалась и получила максимальный на тот момент штраф 25 тыс. рублей. С 21 марта 2021 штрафы увеличили. См.

Постановление 2 КСОЮ от 30.11.2021 № 16-9529/21.

Штраф за нарушение до 90 тыс. рублей компании, до 20 тыс. рублей руководителю по ч. 5 ст. 13.11 КоАП РФ.

Нарушение № 7. Хранят данные в базах данных, находящихся не в России

Компания Twitter, Inc. отказалась хранить данные российских пользователей на территории РФ. Ее оштрафовали на 4 млн рублей. См. Постановление 2КСОЮ 16-3770/2020 от 07.07.2020.

Штраф за нарушение до 6 млн рублей для компаний по ч. 8 ст. 13.11 КоАП РФ.

Как наказывают кадровиков за нарушения обработки персданных

Вот представьте: кадровик, ответственный за обработку персданных работников, сообщает кому-то по телефону или электронной почте о психическом заболевании работника, его частной жизни. Или айтишник допускает виновную утечку данных работников.

За такие нарушения сотрудников могут привлечь к уголовной ответственности. По ч. 2 ст. 137 УК РФ возможны штрафы до 300 тыс. рублей, лишение права заниматься определенной деятельностью и даже лишение свободы.

Должен ли работодатель уведомлять Роскомнадзор

По ч. 1 ст. 22 закона о персданных все компании обязаны уведомить Роскомнадзор о своем намерении обрабатывать данные.

Но работодатель может не уведомлять Роскомнадзор, если обрабатывает данные:

  • в соответствие с трудовым законодательством;
  • для однократного пропуска на территорию;
  • на основании согласия работника на обработку данных, разрешенных им для распространения (не путайте с согласием на обработку);
  • в иных случаях, указанных в ч. 2 ст. 22 того же закона.

Например, работодатель получает номер паспорта для приема на работу, может не уведомлять. Но должен уведомить Роскомнадзор, если запрашивает у работников справки о судимости. В первом случае работодатель собирает информацию «в соответствии с трудовым законодательством», во втором «на основании согласия на обработку данных» (но не согласия на обработку данных, разрешенных для распространения).

Автосалон не подал уведомление и ошибся

Один автосалон не отправлял уведомление в Роскомнадзор, считал, что подпадает под исключения из ч. 2 ст. 22 закона о персданных, поскольку:

  • обрабатывает данные работников только в пределах трудового законодательства;
  • получает данные клиентов только в рамках договоров купли — продажи машины;
  • пропускает на территорию по разовым пропускам.

Роскомнадзор потребовал подать уведомление. Автосалон не учел следующее:

  • Работники автосалона в программе передают дилерам свои персональные данные и данные покупателей.

На передачу данных нужно согласие и уведомление Роскомнадзора.

Онлайн-магазин не подавал уведомление и был прав

Еще пример. Онлайн-магазин подпадает под исключения ч. 2 ст. 22 закона 152-ФЗ, поскольку:

  • использует резюме кандидатов, полученные от кадровых агентств, и обрабатывает персданные соискателей в пределах трудового законодательства;
  • обрабатывает сведения о работниках, пусть и в информационной системе, но в пределах трудового законодательства;
  • применяет программы для обработки данных клиентов при дистанционной продаже товаров;
  • получает данные покупателей в рамках договоров купли-продажи;
  • не рассылает покупателям рекламные рассылки.

Не нужно уведомлять Роскомнадзор.

Когда уведомлять Роскомнадзор и как

Уведомлять нужно до начала обработки данных. До получения первого резюме и до приема работников. На момент написания статьи штраф за несвоевременное уведомление невысокий — до 500 рублей для руководителя и до 5 тыс. рублей для компании по ст. 19.7 КоАП РФ.

Уведомление заполняют на сайте Роскомнадзора. Отправляют на бумаге или электронно. После получения уведомления Роскомнадзор включает компанию в реестр операторов. Правила уведомления описаны в методических рекомендациях, утвержденных приказом Роскомнадзора 94 от 30.05.2017.

Когда не нужны согласия на обработку персональных данных

По ч. 1 ст. 6, ст. 9 закона 152-ФЗ компании должны запрашивать у граждан согласие на обработку персданных, как только получают к ним доступ.

Но есть ситуации, когда компании работодателей могут не получать согласия работников на обработку персданных:

  1. Обрабатывают данные для исполнения заключенного с работником трудового договора (пп. 5 ч. 1 ст. 6 закона 152-ФЗ). Без согласия кадровик внесет паспортные данные в трудовой договор, а бухгалтер сохранит номер карты для перечисления зарплаты. Но согласие потребуется, если компания сообщает данные работника в банк для открытия зарплатной карты.
  2. Обрабатывают данные для исполнения возложенных на работодателя обязанностей, функций и полномочий (пп. 2 ч. 1 ст. 6 закона 152-ФЗ). Информацию о размере одежды сварщиков работодатель обрабатывает без согласия, потому что по требованиям охраны труда обязан выдавать им средства индивидуальной защиты. А если компания собирает размеры для выдачи рубашек корпоративного цвета, тогда нужно согласие работников. Без согласия работодатель передает данные работника в налоговую, Пенсионный фонд, ФСС, трудовую инспекцию и военный комиссариат. Но должен получить у работника письменное согласие для передачи данных водителя-работника своему контрагенту (ч. 2 ст. 88 ТК РФ).
  3. Обработка сведений о состоянии здоровья работника связана с возможностью выполнения трудовой функции (п. 2.3 и 3 ч. 2 ст. 10 закона 152-ФЗ). Школа обрабатывает данные о психическом здоровье учителей без согласия, поскольку обязана это делать по ч. 2 ст. 331 ТК РФ. Кафе обрабатывает данные о медосмотрах поваров, поскольку иначе не может допустить их к работе. В остальных случаях нужно получить согласие работников.
  4. Данные нужны по условиям коллективного договора, ПВТР или других локальных нормативных актов компании (абз. 2 п. 5 разъяснений Роскомнадзора). Завод обрабатывает данные работников для организации пропускного режима без согласия, если порядок организации предусмотрен ЛНА работодателя.
  5. Обязанность по опубликованию данных в сети Интернет предусмотрена законом (п. 1 разъяснений Роскомнадзора). Больница без согласия врачей публикует на сайте данные об их образовании, потому что обязана это делать в силу закона. А вот кафе может рассказывать об образовании шеф-повара только с его согласия.
  6. Обрабатываются данные близких родственников работника для заполнения карточки Т-2, оформления соцвыплат, получения алиментов (п. 2 разъяснений Роскомнадзора). Но нельзя без согласия работников собирать сведения о датах рождения детей для вручения подарков к Новому году. Нельзя без согласия разглашать сведения о доходах сотрудника, даже если об этом просит его бывшая супруга для взыскания алиментов.
  7. Обрабатываются данные уволенных работников для выполнения требований налогового, бухгалтерского учета (п. 5 разъяснений Роскомнадзора). Работодатели без согласия хранят заявления уволенных работников о предоставлении налоговых вычетов с копиями свидетельств о рождении детей. Поскольку по ч. 3 ст. 24 НК РФ работодатели, как налоговые агенты, обязаны 5 лет хранить документы, необходимые для исчисления налогов.

2 вида согласий работников на обработку персданных

Выше мы выявили случаи, когда можно обрабатывать данные без согласия работников. Во всех остальных ситуациях согласие нужно.

Есть 2 вида согласий на обработку:

  • Согласие на обработку персональных данных.
  • Согласие на обработку персданных, разрешенных работником для распространения.

Согласие на обработку персональных данных

Это «то самое, основное» согласие, про которое многие знают. В текст включают перечень персональных данных и список действий работодателя, которые он может делать с данными. Тут важно упомянуть нужные и не написать лишние данные, которые работодателю не нужны. Поэтому текст согласия для работников отличается от согласий для клиентов компании.

В этом же документе при необходимости прописывают согласия на обработку специальных категорий персональных данных (о национальности, состоянии здоровья, религиозных взглядах), биометрических (отпечатки пальцев, фотографии, видеоизображения) и на трансграничную передачу данных (передача данных кандидата на согласование учредителю компании заграницей).

Текст согласия можно оформить в виде отдельного документа или включить в состав трудового договора, п. 5 разъяснений Роскомнадзора. Его составляют по правилам ст. 9 закона о персональных данных.

Когда нужно

Работодатель должен получить согласие на обработку в следующих случаях:

    Запрашивает данных больше, чем ему нужно по трудовому законодательству. Сравните:
Нужно согласие Не нужно
Личный телефон работника для корпоративных визитокФИО и паспортные данные. Они нужны для оформления трудового договора
Фотография для пропускаНомер диплома об образовании. Нужен для заполнения карточки Т-2
Личный электронный адрес для внутреннего справочника работодателяЛичный электронный адрес для выпуска неквалифицированной электронной подписи при кадровом ЭДО

Согласие на обработку персданных, разрешенных работником для распространения

Оно потребуется, если работодатель предоставляет данные работника неограниченному кругу лиц. Например, публикует фотографию работника на доске почета или на сайте компании.

Это самостоятельный документ, он оформляется отдельно от предыдущего согласия по требованиям ст. 10.1. закона о ПД и приказа Роскомнадзора 18 от 24.02.2021. Шаблон согласия можно составить онлайн, на сайте Роскомнадзора.

Когда нужно

Работодатель должен получить у работника согласие на обработку персональных данных, разрешенных работником для распространения, если раскрывает персональные данные работников неопределенному кругу лиц, п. 5 ст. 3 закона о ПД. И согласие не нужно, если распространение происходит по требованию закона.

Информация о дипломе на сайте компании

Нужно согласие работников на публикацию на сайте их ФИО, данных об образовании.

Без согласия врачей больница публикует ФИО медработников, их должности, даты выдачи диплома об образовании, специальности, квалификации, срока действия сертификата специалиста. Поскольку обязана это делать по подп. 7 ч. 1 ст. 79 закона 323-ФЗ от 21.11.2011 Об основах охраны здоровья граждан.

Без согласия учителей школа публикует на сайте ФИО, должность, преподаваемые предметы и информацию об образовании педагогического работника. Поскольку обязана это делать по п. 11 Правил, утв. Постановлением Правительства 1802 от 20.11.2021.

Публикация ФИО и телефона

Нужно согласие менеджера на публикацию его ФИО, электронной почты, телефона.

Но без согласия администрация города публикует ФИО и телефон должностного лица, которое обязано вести приемы граждан. Это предусмотрено пп. б ч. 1 ст. 13 закона 8-ФЗ от 09.02.2009 об обеспечении доступа к информации о деятельности госорганов и ОМСУ.

Предоставление персданных по запросу адвоката

Нужно согласие работника на передачу его данных третьим лицам, в том числе адвокату.

Но согласие не нужно, если адвокат действует по поручению работника. Например, по доверенности от этого работника, на основании соглашения об оказании юридической помощи с этим работником или ордера на оказание услуг этому работнику. См. п. 1 ст. 6.1 закона 63-ФЗ от 31.05.2002 «Об адвокатской деятельности и адвокатуре в РФ», Постановление Костромского областного суда 4А-97/2018 от 21.03.2018.

Предоставление персданных по запросу полиции

Нужно согласие, если запрос полицейского не соответствует закону, не содержит нужных реквизитов, подписан неуполномоченным лицом.

Но без согласия работника работодатель обязан передать персональные данные полиции, если запрос корректно оформлен и поступил в связи с расследованием уголовных дел, административных правонарушений, проверкой зарегистрированных сообщений о преступлениях (ч. 1 ст. 13 закона о полиции 3-ФЗ от 07.02.2011).

Работодатели обязаны предоставлять персональные данные граждан по запросам госорганов в случаях, установленных федеральными законами (п. 2 ст. 88 ТК РФ).

Обработка персональных данных

В соответствии с п. 3 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» обработка персональных данных — это любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

До начала обработки персональных данных вы обязаны уведомить Роскомнадзор о намерении их обрабатывать (ч. 1 ст. 22 Закона о персональных данных)

Основные правила обработки персональных данных

  1. обработка должна ограничиваться достижением конкретных, заранее определенных и законных целей (например, если обработка проводится для трудоустройства работника, подачи сведений в ПФР и другие госорганы или обеспечения сохранности имущества);
  2. обработке подлежат только те персональные данные, которые отвечают целям обработки;

Нужно ли получать согласие работника на обработку персональных данных?
Да, обработка персональных данных в общих случаях осуществляется исключительно с согласия работника.

Исключения, когда не требуется брать согласие работника, прямо регламентированы законом, а также описаны в Разъяснениях Роскомнадзора. Например, не нужно получать такое согласие, если вы сообщаете персональные данные работника третьей стороне, когда это необходимо в целях предупреждения угрозы его жизни и здоровью (ст. 88 ТК РФ, п. 4 Разъяснений Роскомнадзора).

Согласие на обработку персональных данных предусматривается в трудовом договоре, заключаемом по типовой форме (утв. Постановлением Правительства РФ от 27.08.2016 N 858). В ней прямо предусмотрено соответствующее положение. Трудовой договор по этой форме заключается в рамках ст. 309.2 ТК РФ.

В остальных случаях согласие работника на обработку персональных данных рекомендуем оформлять отдельным документом. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным (п. 1 ч. 1 ст. 6, ч. 1 ст. 9 Закона о персональных данных).

Если персональные данные работника возможно получить только у третьих лиц, сообщите об этом работнику и заручитесь его письменным согласием (п. 3 ст. 86 ТК РФ).

Настоятельно рекомендуем включить в него следующую информацию:

  • цели получения персональных данных работника у третьих лиц;
  • предполагаемые источники информации (лица, у которых будете запрашивать данные);
  • способы получения данных, их характер;
  • возможные последствия отказа работника дать согласие на получение его персональных данных у третьих лиц.

Желательно вручить такое уведомление работнику под подпись, чтобы у вас было доказательство, что сотрудник действительно был уведомлен.

Следует убедиться, что работник подписал документ. Тогда при необходимости вы без труда сможете доказать, что работник действительно давал вам согласие на получение своих персональных данных у третьей стороны.

Сбор и обработка персональных данных при приеме на работу

Трудовое законодательство определяет перечень документов, которые работодатель запрашивает у работника при приеме на работу. На этом этапе, согласно ст. 65 ТК РФ, запрашиваются:

  • паспорт или иной документ, удостоверяющий личность;
  • трудовая книжка;
  • документ, подтверждающий регистрацию в системе индивидуального (персонифицированного) учета, в том числе в форме электронного документа;
  • при необходимости: документы воинского учета, документ об образовании и (или) о квалификации или наличии специальных знаний, справка о наличии (отсутствии) судимости.

На то, чтобы внести персональные данные из этих документов в трудовой договор, согласие работника не требуется. Когда он подписывает трудовой договор, то тем самым уже дает свое согласие.

Оформление зарплатной карты и персональные данные работника

Многие организации при приеме на работу оформляют работникам зарплатную карту. В связи с этим может возникнуть вопрос — нужно ли на передачу персональных данных работника банку получать согласие? Да, нужно.

При этом важно, чтобы:

  • перечень персональных данных строго соответствовал тому, что передается в банк;
  • была указана цель для получения персональных данных, а именно — для оформления зарплатной карты.

Роскомнадзор определяет случаи, когда передача персональных данных работника банку для открытия зарплатных карт должна происходить без согласия:

  • договор на выпуск банковской карты заключался напрямую с работником и в его тексте прямо предусмотрены положения о передаче данных работника;
  • у работодателя есть доверенность на представление интересов работника при заключении договора с банком на выпуск карты и её обслуживание;
  • соответствующая форма и система оплаты труда прописана в коллективном договоре (ст. 41 ТК РФ).

Стоит учесть, что работник может отказаться подписать согласие на передачу данных банку, с которым работает компания. У него могут быть уже открыты счета и карты в другом банке, и поэтому для него удобнее продолжать обслуживаться в своем банке.

В прошлом году была установлена ответственность за «зарплатное рабство». Это значит, что сотруднику нельзя отказать в праве на изменение кредитной организации, в которую будет перечисляться зарплата.

Сотрудник сменил фамилию — что делать с трудовым договором?

В этом случае нужно обязательно внести изменения в трудовой договор. Главное — сделать это правильно.

Часто работодатели оформляют дополнительное соглашение, хотя им, как правило, меняются условия, а не сведения трудового договора. Фамилия относится именно к сведениям о работнике.

Правильно будет внести изменение непосредственно в текст трудового договора, вручную.

Размещение «черных списков» сотрудников на сайте

Иногда работодатель смело публикует в открытом доступе списки бывших работников, которые были уволены, например за утрату доверия или неоднократное неисполнение обязанностей.

Следует отметить, что это расценивается законом, как нарушение требований к обработке персональных данных. Об этом, в частности, предупреждает Минтруд в Письме от 08.10.2018 N 14-2/В-803.

В данном случае, публикуя причины увольнения, работодатель сообщает личную информацию сотрудника третьим лицам. Делать это без согласия работника нельзя.

Каким должно быть согласие на обработку персональных данных

Роскомнадзор в своих рекомендациях формулирует следующие требования:

  1. Содержание согласия должно быть конкретным и информированным. То есть по информации можно сделать однозначный вывод о целях, способах обработки с указанием действий, совершаемых с персональными данными, объеме обрабатываемых данных.
  2. Допускается оформление согласия в виде отдельного документа или в виде части текста трудового договора.
  3. Согласие должно отвечать требованиям, предъявляемым к его содержанию, согласно ч. 4 ст. 9 Закона о персональных данных.

Ответственность за нарушения в сфере обработки персональных данных

Статьей 13.11 КоАП РФ предусмотрена ответственность за обработку персональных данных в случаях, не предусмотренных законодательством РФ, либо их обработка, не совместимая с целями сбора персональных данных. Организация по этой норме будет оштрафована на сумму от 30 000 до 50 000 рублей.

Частью 2 статьи 13.11 КоАП РФ выделен самостоятельный состав правонарушения, который образует обработка персональных данных без письменного согласия их субъекта (работника) либо обработка персональных данных с нарушением требований к составу сведений, включаемых в письменное согласие. Должностному лицу компании-работодателя грозит штраф в размере от 10 000 до 20 000 рублей, а организации — от 15 000 до 75 000 рублей.

На какие сведения медицинского характера запрет не распространяется?

Несмотря на прямой запрет о сборе сведений медицинского характера, ст. 88 ТК РФ делает оговорку в отношении тех данных, которые значимы с точки зрения отбора кандидатов на конкретную должность или работу в определенных условиях. Это относится:

  • к педагогам (ст. 331 ТК РФ);
  • работникам служб авиационной безопасности (подп. 2 п. 4 ст. 52 Воздушного кодекса Российской Федерации от 19.03.1997 № 60-ФЗ);
  • морякам торгового флота (п. 2 ст. 55 Кодекса торгового мореплавания Российской Федерации от 30.04.1999 № 81);
  • работникам объектов атомной энергетики (ст. 27 закона РФ «Об использовании атомной энергии» от 21.11.1995 № 170-ФЗ);
  • персоналу объектов топливно-энергетического комплекса (подп. 2 п. 1 ст. 10 закона РФ «О безопасности объектов топливно-энергетического комплекса» от 21.07.2011 № 256-ФЗ);
  • муниципальным служащим (подп. 4 п. 1 ст. 13 закона РФ «О муниципальной службе в Российской Федерации»от 02.03.2007 № 25-ФЗ);
  • государственным служащим (подп. 4 п. 1 ст. 16 закона РФ «О государственной гражданской службе Российской Федерации» от 27.07.2004 № 79-ФЗ);
  • лицам, направляемым на работу в местности, требующие наличия профилактических прививок (п. 2 ст. 5 закона РФ «Об иммунопрофилактике инфекционных болезней» от 17.09.1998 № 157-ФЗ);
  • людям, имеющим дело с источниками повышенной опасности (ст. 6 закона РФ «О психиатрической помощи и гарантиях прав граждан при ее оказании» от 02.07.1992 № 3185-1);
  • работникам прокуратуры (п. 2 ст. 40.1 закона РФ от 17.01.1992 № 2202-1);
  • сотрудникам органов внутренних дел и органов по контролю за оборотом наркотиков (подп. 5 п. 1 ст. 14 и п. 4 ст. 97 закона РФ «О службе в органах внутренних дел Российской Федерации и внесении изменений в отдельные законодательные акты Российской Федерации» от 30.11.2011 № 342-ФЗ);
  • лицам, связанным с обеспечением транспортной безопасности (подп. 2 п. 1 ст. 10 закона РФ «О транспортной безопасности» от 09.02.2007 № 16-ФЗ);
  • лицам, имеющим дело с пищевыми продуктами (п. 2 ст. 23 закона РФ «О качестве и безопасности пищевых продуктов» от 02.01.2000 № 29-ФЗ);
  • работникам ведомственной охраны (ст. 6 закона РФ «О ведомственной охране» от 14.04.1999 № 77-ФЗ);
  • лицам, работающим с химическим оружием (ст. 2 закона РФ «О социальной защите граждан, занятых на работах с химическим оружием» от 07.11.2000 № 136-ФЗ).

Поскольку человек может скрыть нежелательную для него информацию о наличии медицинских противопоказаний, препятствующих трудоустройству на соответствующую работу (должность), работодателю предоставляется возможность получить такие сведения из других источников.

Распространенные вопросы

Может ли работодатель передавать персональные данные своих бывших работников новым работодателям по их запросам?

Потенциальный работодатель вправе запросить информацию о персональных данных сотрудника при соблюдении следующих условий:

  • если данную информацию нельзя получить у самого работника;
  • при наличии согласия работника.

Прежний работодатель вправе передать такие сведеня новому работодателю при наличии согласия сотрудника. Если работник отозвал согласие на передачу персональных данных третьим лицам, прежний работодатель может получить штраф.

Относятся ли сведения полиграфа к персональным данным?

Законодательство не запрещает работодателям использовать детектор лжи для проверки кандидатов и действующих работников с целью получения в ходе такой проверки ответов на вопросы, касающиеся лояльности работника к работодателю, а также деловых и профессиональных качеств работника. Применять полиграф работодатель вправе только при наличии письменного согласия работника. В таком согласии должны быть указаны следующие данные:

  • разъяснение о праве выбора гражданина дать согласие на экспертизу или отказаться от нее;
  • перечень вопросов, по которым будет проводиться психофизиологическая экспертиза;
  • разъяснение о праве гражданина в любой момент отказаться от экспертизы;
  • обязательство работодателя использовать результаты экспертизы только для целей рассмотрения возможности приема кандидата на работу или соответствия работника занимаемой должности.

Информация, полученная в результате проверки на полиграфе, относится к персональным данным гражданина (п. 1 ст. 3 Закона от 27.07.2006 № 152-ФЗ).

Какие риски возможны при нарушении требований к обработке персональных данных работников организации?

При нарушении требований к обработке персональных данных сотрудника работодателя ждет:

  1. административная ответственность:
  • по ч. 1, 2 ст. 5.27 КоАП РФ — за несоблюдение требований к обработке персональных данных работников, которые установлены ТК РФ.
  • по ст. 13.11 КоАП РФ — за нарушение требований к обработке персональных данных, которые установлены Законом о персональных данных.

2. уголовная ответственность:

  • по ч. 2 ст. 137 УК РФ — если работник, ответственный за обработку персональных данных других работников, злоупотреблял своими служебными полномочиями, собирал и распространял сведения о частной жизни работника без его согласия.

Что относится к персональным данным

Формально в категорию персональных данных работника входят любые сведения, которые прямо или косвенно относятся к конкретному человеку. Есть два обязательных условия:

  • такая информация даёт возможность бесспорно идентифицировать их обладателя;
  • эти данные будут нужны для трудовой деятельности (например, фамилия, имя, отчество сотрудника необходимы для организации работы, а вот вероисповедание никак не влияет на её исполнение).

Важно, чтобы запрашиваемые организацией данные не были избыточными и имели чёткую цель получения. Такой подход поможет избежать разбирательств в судах.

Самые распространённые и востребованные персональные данные, это:

  • фамилия и имя (отчество — при наличии);
  • число, месяц и год рождения;
  • место рождения;
  • адрес регистрации и фактического проживания;
  • семейный статус, количество детей;
  • информация об образовании, квалификации;
  • идентификаторы — ИНН, СНИЛС;
  • паспортные данные (или данные иного документа удостоверения личности);
  • данные документа о воинской обязанности;
  • диагнозы различных медицинских учреждений (при наличии ограничений).

Могут запрашиваться и биометрические данные — фотографию лица, отпечатки пальцев, радужную оболочку глаз, рост, вес, и т.д.

Часть информации предоставляется уже на этапе проведения собеседования (данные об образовании и дипломах, фотографии), а оставшаяся часть — при устройстве на работу.

Нормативная база о персональных данных

Иногда работодатели публикуют в интернете «чёрные» списки сотрудников, с которыми у них возникали проблемы. При этом они не учитывают тот факт, что персональные данные работника — это защищаемая законом информация, и её нельзя использовать по своему усмотрению. Основы для этого заложены в Конституции Российской Федерации.

Нормы регулирования вопросов, связанных с персональными данными, содержатся:

  • в Трудовом кодексе РФ (ТК РФ);
  • в Федеральном законе от 27.07.2006 №152-ФЗ “О персональных данных”;
  • в Кодексе РФ об административных правонарушениях (КоАП РФ);
  • в Уголовном кодексе РФ (УК РФ).

Если Конституция гарантирует права граждан на контроль публикации информации о себе, в трудовом законодательстве речь уже идёт о регулировании деятельности работодателей. Например, сбор персональных данных кадровой службой допускается только с чёткими и ограниченными целями. В КоАП РФ и УК РФ прописывается ответственность за игнорирование и нарушение действующих правил о защите данных.

Особенности работы с персональными данными

Сталкиваться с понятием персональных данных работника приходится уже на этапе публикации вакансий на сайте работодателя или на ином интернет-ресурсе. В ответ на них потенциальные кандидаты отправляют свои данные, а получатели начинают нести ответственность за их нераспространение. Можно игнорировать отсутствие договора на обработку данных, если кандидат сам разместил резюме в интернете.

На следующем этапе — при трудоустройстве будущему работнику нужно будет предоставить:

  1. паспорт гражданина РФ (или иной документ для подтверждения личности);
  2. трудовую книжку;
  3. ИНН и СНИЛС;
  4. диплом об образовании или квалификации;
  5. документы о воинской обязанности.

Также работодатель может запросить справку об отсутствии судимостей или отрицательный тест на употребление наркотиков. Ввод информации из предоставленных документов в трудовой договор отдельного согласия не требует. После его подписания работник по умолчанию разрешает обрабатывать информацию о нём, так как это необходимо для начисления заработной платы, отправки отчётности в ИФНС и в Фонды, и т.д.

При выпуске зарплатной карты допускается отсутствие согласия на обработку персональных данных, если договор был заключен сотрудником напрямую с банком. В этом случае работодателю будет передаваться ограниченная информация.

Что делать с данными, собираемыми при помощи анкетирования

Распространённым способом сбора информации о соискателе считается анкета. Она обязательно имеет указание по сроку её рассмотрения и выдачи ответа о приёме или об отказе в приёме на работу. Также к анкете предъявляются требования пункта 7 “Положения об особенностях обработки персональных данных, осуществляемой без применения средств автоматики”, утверждённого Постановлением Правительства РФ от 15.09.2008 №687.

Важные моменты требований:

  • в анкете указывают цель обработки персональных данных, наименование оператора и перечень действий с информацией, какие могут совершаться с ними;
  • в любом месте документа кандидату предлагают оставить отметку о согласии на обработку данных (чаще всего внизу рядом с датой и подписью);
  • в теле анкеты не должно присутствовать совмещённых полей, предполагающих указание не взаимосвязанных данных.

Если анкета высылается соискателю в электронном виде, то согласие на обработку подтверждают постановкой отметки в соответствующем поле. В любом случае, обе стороны анкетирования должны чётко понимать, что такое персональные данные работника, почему нельзя их свободно распространять. Например, электронные анкеты хранят на накопителе с закрытым от посторонних лиц доступом.

Что делать с данными, если кандидат не подошёл

При отказе в приёме на должность или при закрытии вакансии по другим причинам, персональные данные несостоявшихся работников следует удалять. Срок на исполнение этой обязанности установлен в 30 календарных дней. Если по истечении указанного периода информация осталась в базе данных работодателя, его могут привлечь к административной ответственности. Речь идет о сроках хранения законно полученных данных (из анкеты или резюме предоставленного соискателем).

В учреждениях с государственной гражданской службой срок хранения персональных данных кандидатов составляет 3 календарных года.

Тут к достоверности информации подходят более жёстко — за предоставление кандидатом искажённых предусмотрена ответственность согласно статье 19.7 КоАП РФ (штраф от 100 до 300 рублей).

Как направлять запросы на прежние места работы

Привычные вопросы о предыдущей трудовой деятельности также имеют отношение к сбору персональных данных сотрудников. Если текущий работодатель планирует запрашивать какие-либо сведения о сотруднике его бывшего работодателя, сначала нужно получить письменное согласие от сотрудника. При этом незаконно просить номера личных телефонов бывших коллег и руководителя.

Что делать с данными по уволенным работникам

Отдельно рассматриваются периоды хранения информации о людях, уволенных из организации. Их данные попали в бухгалтерский и налоговый учёт и в отчётность, и поэтому то, что касается налоговых начислений и платежей, должно храниться в течение 5 лет (подпункт 5 пункта 3 статьи 24 НК РФ).

А вот личные личные дела или личные карточки сотрудников необходимо передавать в архив для дальнейшего хранения в течение 50 лет (пункт 2 статьи 22.1 Федерального закона от 22.10.2004 №125-ФЗ).

Организации не обязательно выяснять, что входит в персональные данные работника, достаточно обеспечить сохранность кадровых документов и документов, ранее используемых при начислении, удержании и перечислении налогов.

Не тратьте время на задачи, которые не приносят прибыль!

Передайте бухгалтерию на аутсорсинг. Мы возьмём на себя всё ведение и безопасное хранение вашей документации.

Оцените статью
KDPkonsalting.ru
Добавить комментарий

© 2026 KDPkonsalting.ru